近期報導指出,駭客正使用JavaScript代碼注入技術來對WordPress網站進行暴力破解攻擊。這種攻擊手法將訪問已受感染網站的普通用戶瀏覽器變為攻擊其他WordPress網站的工具,進一步加大了攻擊範圍。
根據 GoDaddy 22 日向美國證券交易委員會(United States Securities and Exchange Commission,SEC)提交的文件指出,該公司的 WordPress 託管服務遭遇攻擊,駭客取得多達 120 萬 GoDaddy 客戶的電子郵件位址以及部份網站管理員預設密碼。
駭客利用一些名不見經傳且含有XSS漏洞的外掛程式,如上圖的Easy2Map,針對仍採用這類舊款外掛的WordPress網站,發動攻擊。專門提供WordPress網站安全服務的Wordfence本周指出,他們在過去一個月看到同一個駭客集團,針對逾90萬個WordPress網站發動攻擊,企圖將造訪相關網站的使用者導至惡意廣告網站。
Securi技術長Daniel Cid表示,駭客濫用了Pingback功能,利用至少16.2萬個WordPress網站來癱瘓目標網站。以WordPress架站的使用者,若懷疑自己可能淪為DDoS幫兇,可以檢視網站有否任何XMLRPC檔案的POST請求,倘若當中含有隨機網址的Pingback執行,那麼網站應該已被濫用。
芬蘭資安業者Klikki Oy發現知名的免費架站平台WordPress 3版本含有重大安全漏洞,駭客可以利用跨站指令碼(Cross-site scripting, XSS)攻擊接管網站管理員的權限,進而在網站上注入各種惡意程式。根據WordPress今年11月的估計,目前3.x版使用率約占WordPress的85.6%,因此全球可能超過5000萬個WordPress網站受到該漏洞影響.....